Q21 — AWS DOP-C02 第3章
第 21/100 問 | ← 第3章
ある企業のDevOpsエンジニアはマルチアカウント環境で作業しています。同社はAWS Transit Gatewayを用いてネットワーク運用アカウントでトラフィックをルーティングしています。ネットワーク運用アカウントでは、すべてのアカウントトラフィックがファイアウォール設定を通じて検査され、その後インターネットゲートウェイへ進みます。 ファイアウォール設定は、重大、高、中、低、情報の5段階のイベント重大度を含むログをAmazon CloudWatch Logsに送信します。セキュリティチームは、重大なイベントが発生した際に即座にアラートを受け取りたいと考えています。 DevOpsエンジニアはこれらの要件を満たすためにどうすべきですか?
- A. ファイアウォールの状態を監視するためのAmazon CloudWatch Synthetics Canaryを作成します。ファイアウォールが臨界状態に達した場合、または臨界イベントを記録した場合に、CloudWatchアラートを使用してAmazon Simple Notification Service (Amazon SNS)トピックに通知を発行します。セキュリティチームのメールアドレスをそのトピックに登録します。
- B. 重要イベントを検索するためのAmazon CloudWatchメトリクスフィルターを作成します。調査結果をカスタムメトリクスとして発行します。カスタムメトリクスに基づくCloudWatchアラートを使用して、Amazon Simple Notification Service (Amazon SNS)トピックに通知を発行します。セキュリティチームのメールアドレスをそのトピックに登録します。 ✓
- C. ネットワーク運用アカウントでAmazon GuardDutyを有効化します。GuardDutyをフローログの監視に構成します。重要なGuardDutyイベントによって呼び出されるAmazon EventBridgeイベントルールを作成します。Amazon Simple Notification Service (Amazon SNS)トピックをターゲットとして定義します。セキュリティチームのメールアドレスをそのトピックに登録します。
- D. AWS Firewall Managerを使用してすべてのアカウントに一貫したポリシーを適用します。重要なFirewall Managerイベントによって呼び出されるAmazon EventBridgeイベントルールを作成します。Amazon Simple Notification Service (Amazon SNS)トピックをターゲットとして定義します。セキュリティチームのメールアドレスをそのトピックに登録します。
正解: B. 重要イベントを検索するためのAmazon CloudWatchメトリクスフィルターを作成します。調査結果をカスタムメトリクスとして発行します。カスタムメトリクスに基づくCloudWatchアラートを使用して、Amazon Simple Notification Service (Amazon SNS)トピックに通知を発行します。セキュリティチームのメールアドレスをそのトピックに登録します。
解説
AWS環境におけるログ監視およびアラート設定は、通常、特定のログイベントを追跡可能なメトリクスに変換することを伴います。本問ではファイアウォールログが既にCloudWatchに送信されており、重大度レベルに基づくアラートを必要としています。AWSドキュメントによると、CloudWatchメトリクスフィルターはログデータから特定のパターンに一致するイベントを抽出し、カスタムメトリクスを生成できます。選択肢Bは、重要イベントを検索するメトリクスフィルターを作成し、一致したイベントをカスタムメトリクスとして発行し、それに基づくCloudWatchアラートを設定し、アラート発火時にSNS経由でセキュリティチームに通知するという流れを実現します。他の選択肢は既存のCloudWatchログ処理能力を直接活用していません:選択肢AのSynthetics Canaryはエンドポイント監視用途でありログ分析には不適、選択肢CのGuardDutyはフローログを前提としており既存のファイアウォールログには依拠せず、選択肢DのFirewall Managerはポリシー管理が主目的でありログアラートには不向きです。正しい手法はログ内容のフィルタリングとメトリクス変換に焦点を当てた選択肢Bのフローです。